Das BSI – Bundesamt für Sicherheit in der Informationstechnik hat durch eine Reihe von Vorfällen Indizien gefunden, dass Hacker in der Welt versuchen , einen Zusammenbruch der deutschen Internetserver und damit der deutschen Internetinfrastruktur herbeizuführen. Das Deutschland ein großes Ziel ist für Cyberattacken und Internetangriffe, das hat mittlerweile auch der Präsident des BSIs so langsam erkannt, wie er sich in der Financial Times Deutschland am 14.11.2012 dazu äußerte. Rainer Brüderle und auch sein Ex-Ministerkollege des Innern De Maiziere, die nicht so detailliert und tief in der Materie drin hängen, wie Hange, haben das schon länger als unser BSI-Präsident Michael Hange erkannt.
DNS-Changer spukte vor mehreren Monaten herum. Die Telekom hat Angriffe auf die DNS-Server gemeldet. Viele Provider haben das nicht getan, obwohl sie trotzdem Angriffsziel waren und auch angegriffen wurden. Provider, die solche Vorfälle aus Imagegründen nicht melden, sorgen nun dafür, dass ein Gesetzentwurf vorgelegt werden wird, der die Meldepflicht von Angriffen auf kritische Infrastrukturen vorsieht. Bei der Bitkom kann man solche Angriffe mittlerweile anonym melden. Man kann davon ausgehen, dass Provider kritischer Infrastrukturen sein werden, die mit Urban Security zu tun haben und auch die Banken. Urban Security ist öffentlicher Transport, Energie- und Wasserwirtschaft, Telekomanbieter, Krankenhäuser, uvm.
Wenn die DNS-Server im Internet ausfallen, fällt auch das Internet aus, und keine Server werden mehr erreichbar sein, weil diese durch Suchanfragen nicht mehr gefunden werden können.
Man kann wieder gut erkennen, wie Menschen gestrickt sind. Um was geht es wem wirklich? Sectank ist pragmatischer. Wir machen Ihnen mal ein paar Vorschläge, was Sie dagegen unternehmen können, anstatt mit einer Gesetzesvorlage zu wedeln. Alle verweisen nur darauf, dass Angriffe gefälligst gemeldet werden sollen. Wenn es um die Sicherheit der Internetinfrastruktur geht, ist das BSI blind. Woher sollte das Amt diese Daten auch erheben können? Evt. von den 2 Verfassungsschützern, die die Anti-Cyberwarfare-Truppe beim BSI unterstützen fiele mir ein. Die sind allerdings auch auf den Wohlgefallen der Unternehmen angewiesen.
Provider könnten MPLS endlich mal richtig einsetzen. Die Provider wissen mittlerweile alle, dass durch den gezielten und richtigen Einsatz von MPLS gefakte IP-Adressen aus einem Trägernetz gefiltert werden könnten. Das ist zwar Arbeit, denn man muss riesige Netze mit insgemsamt 64 Mio Internetnutzern bereinigen, und auf die IP-Adressen reduzieren, die auch wirklich im Netzwerk sind. Technisch machbar ist das, zu automatisieren ist das auch, aber Lust und die Kosten, auf die möchte lieber jeder Verzichten. Aber erst dadurch kann man DDoS – Distributed Denial of Service reduzieren oder gar eliminieren. In jedem Heim- bzw. Privatnetzwerk ist das auch möglich. Viele arbeiten mit Mac-Adresssicherheit kombiniert mit festen IPs und mehr, und im Grunde genommen ist das in größeren Netzen vom Prinzip dasselbe, nur immens viel mehr Arbeit und teurer, aber machbar. Aber die Provider denken immer noch mehr darüber nach, ob sie den Endanwendern lieber ein kostenpflichtiges Device gegen DDoS (die nun auch seit geraumer Zeit verkauft werden von allen möglichen Herstellern) oder einen kostenpflichtigen Service gegen DDoS anbieten sollen, anstatt ihre Hausaufgaben zu machen. So lange wie MPLS falsch bzw. trivial eingesetzt wird, so lange werden Meldepflichten auch nichts an der Sicherheit der deutschen Internetinfrastruktur verbessern. Warum spricht man über einen Gesetzesentwurf für Meldepflichten anstatt das Übel an der Wurzel zu packen, und nicht über ein Gesetz des maximalen Einsatzes von Schutzmaßnahmen durch das Nutzen von vorhandenen Sicherheitsfunktionalitäten?
Zum Vergleich. Eine 70 jährige Frau in Hamburg wurde verurteilt, weil sie einen Wifi-Router ungenügend abgesichert hat, über den ein Nachbar im Haus Musik und Kinderpornos runter gezogen hat. Warum werden Provider dann nicht verurteilt, wenn Sie zur Verfügung stehende Sicherheitsfunktionalitäten nicht aktivieren auf den Devices oder nicht einsetzen, durch diese Ursache jedoch eine ganze Internetinfrastruktur zusammenbrechen könnte? Herr Friedrich und Frau Leutheuser-Schnarrenberger sollten darüber mal ganz intensiv nachdenken.
Da DNS-Server meist Angriffsziel Nummer eins sind, sollte man auch mal folgende Informationen populärer machen. Ich bin Partner bei der Experton. Die Experton ist ein Researchspezialist, wie Gartner, IDG, und Forrester. Wir erheben viele Daten, speziell auch seitdem wir die Sicherheitssparte für Experton hochziehen, im Security, Datenschutz und Risikomanagement. Hier eine wichtige Zahl, die ich für die Experton in einer Analyse erhoben habe.
96% aller eingesetzten DNS Server in Unternehmen verwenden die veraltete DNSSEC-Sicherheit. Nur 3% verwenden DNS-Curve. Wen also wundert es, dass Hacker die DNS-Server des deutschen Internets crashen könnten?
DNS-Systeme, die mit TSIG oder DNSSEC abgesichert sind, sind anfälliger als DNS-Systeme, die mit DNS-Curve aufgesetzt sind, da diese auf der nicht manipulierbaren elliptischen Kurve namens “Curve25519″ basieren. DNSCurve schützt die Integrität, Authentizität und Vertraulichkeit (im Gegenzug zu DNSSEC, das nur Integrität und Authentizität schützt). Ein sicherheitsmodifizierter Forwarder auf der Serverseite und ein sicherheitsmodifizierter DNS-Cache auf der Client-Seite sind dazu notwendig.Sie möchten gerne mehr erfahren über DNSSEC und DNS-Curve? Kontaktieren Sie mich über meine freiberufliche IT-Beratung oder über die Experton-Group.
Weitere Artikel
Palo Alto Networks analysiert aktuelle Malware-Trends
Bitdefender warnt vor russischen Hackern, die unter dem Deckmantel regierungsfeindlicher Software den Kelihos-Trojaner verbreiten
Neue Cyberangriffswelle mittels Drive by Download über IE Browser
Qualys erhält in der IT-Sicherheitsstudie eines führenden Analysten Top-Kundenbeurteilungen